CN111107077A - 一种基于svm的攻击流量分类方法 - Google Patents
一种基于svm的攻击流量分类方法 Download PDFInfo
- Publication number
- CN111107077A CN111107077A CN201911291446.3A CN201911291446A CN111107077A CN 111107077 A CN111107077 A CN 111107077A CN 201911291446 A CN201911291446 A CN 201911291446A CN 111107077 A CN111107077 A CN 111107077A
- Authority
- CN
- China
- Prior art keywords
- classification
- svm
- flow
- attack
- load
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2411—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Data Mining & Analysis (AREA)
- Theoretical Computer Science (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于SVM的攻击流量分类方法,在恶意流量检测中,给定Nt为训练样本,其中单个样本xi∈Rd,代表一个d维的网络流量;流量分类是在d维的空间中解出决策函数f(x)=wx+b,从而找到边界,将样本映射到对应的流量分类标签上,使样本分布于边界两侧;在二维平面中,边界是一条直线;在高维空间中,边界是一个超平面;基于SVM分类问题的核心在于找到一个服从于最小误分类比的边界;在求得二次规划问题的参数后,未知流量样本即可通过计算决策函数进行分类。本发明使用范围广泛,便于扩展。可扩展到FTP、Telnet、SMTP等协议的异常流量检测场景。利用数据包载荷进行异常流量检测,实现了攻击流量分类。
Description
技术领域
本发明涉及一种基于SVM的攻击流量分类方法。
背景技术
网络异常流量检测能有效地抵御网络安全威胁,该方法核心在于流量数据的采集与分析。用于恶意流量检测的网络流量数据可分为4类,分别是:1).数据包级-流量的包头和载荷信息;2).数据流级-网络流的统计信息;3).连接级-两个IP之间的连接数据信息;4).主机数据-主机活动信息。其中,数据包信息最为丰富,通过分析载荷信息,能对流量进行更精准的分类,极大地降低***安全风险,提升***安全性。当前,针对数据包级的恶意流量检测主要利用了深包检测技术,常用的软件为:SNORT,Bro,Linux L7-filter等检测软件,通过分析标准化匹配算法,来将载荷与现有的规则进行对比,从而判断输入是否为恶意流量。然而,这类软件在面对未知形式攻击时,检测效果不理想,规则库实时更新困难,安装成本高,需要计算能力强大的服务器来运营维护。
随着人工智能技术的发展,机器学习算法被越来越多的应用于不同领域。利用机器学习算法和深度学习算法,能弥补深包检测技术的不足,对网络流量进行分类,提升网络的安全性。已有文章提出,基于LSTM的CAN总线的恶意流量检测,ANN异常流量监测,基于SVM的网络流量分类等方法,并且在DDOS异常分类等二值分类问题上取得了突出成果。然而,在面对多分类问题时,机器学习算法暴露了现有多分类机制计算量过大,特征混淆导致分类精度低等缺点。
发明内容
为了充分利用网络流量数据包,并且克服当前机器学习算法在多分类问题上的不足,进而更加高效地检测恶意流量,保护***安全。本发明将Http数据包流量与机器学习算法相结合,提供一种基于SVM攻击流量分类方法。通过特征化流量载荷和高效的SVM多分类机制,对网络流量的安全性进行预测,预防潜在的安全风险。
本发明的目的是通过以下技术方案来实现的:
一种基于SVM的攻击流量分类方法,
在恶意流量检测中,给定Nt为训练样本,其中单个样本xi∈Rd,代表一个d维的网络流量,每个维度都对应着流量的一个属性;
流量分类是在d维的空间中解出决策函数f(x)=wx+b,从而找到边界,将样本x∈Rd映射到对应的流量分类标签y∈Y上,使样本分布于边界两侧;
在二维平面中,边界是一条直线;在高维空间中,边界是一个超平面;基于SVM分类问题的核心在于找到一个服从于最小误分类比的边界,即找到凸二次规划问题的解;
在求得二次规划问题的参数后,未知流量样本xi即可通过计算决策函数进行分类。
作为优选方式,在SVM算法模型给定的情况下,提取样本的特征对决策函数进行拟合。
作为优选方式,特征的选择需要满足以下要求:1.特征是否发散,方差是否接近为0;2.特征与目标的相关性。
作为优选方式,将攻击载荷特征分为:(1).载荷中包含的特殊符号数量fsyb;(2).载荷中包含的特殊字符数量fstr;(3).字符符号比fratio;(4).载荷长度flen;其中载荷特殊符号数量fsyb和特殊字符数量fstr与攻击类型强相关。
作为优选方式,攻击载荷样本选用三类共30000条数据作为恶意载荷数据集,三类攻击载荷样本包括SQL注入、目录遍历、命令注入攻击载荷样本。
作为优选方式,通过词频统计方法获得每类攻击中出现频率最高的特殊字符和特殊符号作为对应攻击的特征。
作为优选方式,本发明采用分类巡回的方式来实现SVM多分类。
作为优选方式,分类巡回的方式包括如下内容:
首先我们随机配对所有类别,在经过第一轮的分类后,将第一轮的分类结果随机配对,并进行第二轮分类;如此往复直到获得最终结果。
作为优选方式,本发明包括如下步骤:
第一:对需要安全防护的端口做流量获取与解析,利用tcpdump监听端口TCP流量;
第二:使用python的scapy模块对tcpdump生成的pcap文件进行解析,提取出流量中的载荷,输入到一个一对多二值分类SVM中,选用载荷的特殊字符,特殊符号,字符符号比和载荷长度作为特征,将正常流量与异常流量分开;
第三:对异常流量做精准分类,利用分类巡回方法,实现多分类,减轻计算量,最终,统计分类结果,检测出攻击类型。
本发明的有益效果是:
1、本发明使用范围广泛,便于扩展。可扩展到FTP、Telnet、SMTP等协议的异常流量检测场景。
2、利用数据包载荷进行异常流量检测,实现了攻击流量分类。在本发明中,三类攻击(SQL注入,命令行注入和目录遍历)的检测分类,准确率达到了96%以上。
3、有效降低二值分类器处理多分类问题的计算量。
附图说明
为了更清楚地说明本发明实施方式的技术方案,下面将对实施方式中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为SVM分类巡回示意图。
具体实施方式
下面结合附图进一步详细描述本发明的技术方案,但本发明的保护范围不局限于以下所述。
为使本发明实施方式的目的、技术方案和优点更加清楚,下面将结合本发明实施方式中的附图,对本发明实施方式中的技术方案进行清楚、完整地描述,显然,所描述的实施方式是本发明一部分实施方式,而不是全部的实施方式。基于本发明中的实施方式,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施方式,都属于本发明保护的范围。因此,以下对在附图中提供的本发明的实施方式的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施方式。基于本发明中的实施方式,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施方式,都属于本发明保护的范围。
一种基于SVM的攻击流量分类方法:
在恶意流量检测中,给定Nt为训练样本,其中单个样本xi∈Rd,代表一个d维的网络流量,每个维度都对应着流量的一个属性,比如字符数,载荷长度等;
流量分类是在d维的空间中解出决策函数f(x)=wx+b,从而找到边界,将样本x∈Rd映射到对应的流量分类标签y∈Y上,使样本分布于边界两侧;
在二维平面中,边界是一条直线;在高维空间中,边界是一个超平面;基于SVM分类问题的核心在于找到一个服从于最小误分类比的边界,即找到凸二次规划问题的解;
在求得二次规划问题的参数后,未知流量样本xi即可通过计算决策函数进行分类。
在SVM算法模型给定的情况下,提取样本的特征对决策函数进行拟合。
Http流量包含众多属性,包括:源地址,目的地址,源端口,目的端口,源mac,目的mac,流量载荷,载荷字符长数等,需要选择合适的属性作为训练机器学习模型的特征。特征提取和特征工程可能会占用开发一个机器学习模型80%-90%的时间。在攻击流量分类问题中,直观的流量属性对模型训练和预测影响微小。需要结合安全知识对载荷进行特征挖掘,提炼出流量中最显著的攻击特征。
样本特征的质量直接影响SVM分类的准确率。特征的选择需要满足以下要求:1.特征是否发散,方差是否接近为0;2.特征与目标的相关性。
本发明中,结合安全背景知识,将攻击载荷特征分为:(1).载荷中包含的特殊符号数量fsyb;(2).载荷中包含的特殊字符数量fstr;(3).字符符号比fratio;(4).载荷长度flen;
其中载荷特殊符号数量fsyb和特殊字符数量fstr与攻击类型强相关,这既是说,SQL注入攻击的字符、符号特征是载荷中的SQL语句;OS Command注入攻击的字符、符号特征实载荷中的***操作指令;而跨站脚本攻击的字符、符号特征是载荷中的java script脚本。举例来说:SQL注入攻击语句:’or true--,需要关注特殊符号是:’-,需要关注的特殊字符为:or true。而在OS command注入攻击语句:cat../../etc/passwd中,需要关注的特殊符号为:./,需要关注的特殊字符为:cat etc passwd。正常流量载荷提取于实验室内部IDS日志,共计30000条。
攻击载荷样本选用三类共30000条数据作为恶意载荷数据集,三类攻击载荷样本包括SQL注入、目录遍历、命令注入攻击载荷样本。从网上下载攻击载荷样本https://github.com/foospidy/payloads,一共整理出3类(SQL注入、目录遍历、命令注入)共30000条数据作为恶意载荷数据集。
通过词频统计方法获得每类攻击中出现频率最高的特殊字符和特殊符号,结合安全知识加以筛选,作为对应攻击的特征。
基于SVM的多分类问题的一个处理机制是将N个类转化为N个一对多二值分类(OVRSVMs)问题。例如,处理第Nk个2值分类问题,所有的样本将以k类和不是k类(其余样本)来划分。一对多方法分类器个数较少,分类速度较快。然而每个分类器的训练是全部样本作为分类样本,求解二次规划问题时,训练速度会随着训练样本数增加而降低。由于剩余样本远高于分类样本,造成了样本不对称现象。此外,在恶意流量载荷检测方面,一对多分类使得攻击载荷特征变得模糊,从而导致分类精度下降。
另一个多分类问题处理机制是一对一二值分类(OVO SVMs),做法是在任意两个样本之间构建SVM模型,统计分类结果,选择得分最高的分类。该方法能有效地避免特征相似而导致分类精度降低的问题,并且易于扩展,在新增分类时无需重新训练原有的SVM。然而所需构造的分类器较多,k类的样本需要设计(k(k-1))/2个分类器,单次预测时间较长。在恶意流量检测场景中,实现一个对8种攻击载荷进行分类的装置,将需要28个分类器,每次预测流量都将遍历28个分类器,这是十分低效的。
本发明采用了分类巡回的方式来解决一对一二值分类在恶意流量检测场景中低效的问题。正如体育运动中的巡回赛一样,分类巡回的方式包括如下内容:
首先我们随机配对所有类别,在经过第一轮的分类后,将第一轮的分类结果随机配对,并进行第二轮分类;如此往复直到获得最终结果。
如图1所示,在对8种攻击载荷进行分类的场景中,一共只需要7次分类就可获得结果。在k分类问题中使用分类巡回机制,一共需要(k-1)个分类器,效率对比OVO SVMs提升了k/2。
结合所述,一种基于SVM的攻击流量分类方法,具体包括如下步骤:
第一:对需要安全防护的端口做流量获取与解析,利用tcpdump监听端口TCP流量;
第二:使用python的scapy模块对tcpdump生成的pcap文件进行解析,提取出流量中的载荷,输入到一个一对多二值分类SVM中,选用载荷的特殊字符,特殊符号,字符符号比和载荷长度作为特征,将正常流量与异常流量分开;
第三:对异常流量做精准分类,利用分类巡回方法,实现多分类,减轻计算量,最终,统计分类结果,检测出攻击类型。
如图1所示,根据上述攻击样本特征工程方法,提取载荷SQLi特征fsql和XSS特征fxss,将两类特征合并为一个特征向量输入SVMsqli|xss,依此类推,遍历所有恶意流量分类器。最终,统计分类结果,检测出攻击类型。本发明可用于任何数据包级攻击流量检测的应用场景。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,应当指出的是,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种基于SVM的攻击流量分类方法,其特征在于:
在恶意流量检测中,给定Nt为训练样本,其中单个样本xi∈Rd,代表一个d维的网络流量,每个维度都对应着流量的一个属性;
流量分类是在d维的空间中解出决策函数f(x)=wx+b,从而找到边界,将样本x∈Rd映射到对应的流量分类标签y∈Y上,使样本分布于边界两侧;
在二维平面中,边界是一条直线;在高维空间中,边界是一个超平面;基于SVM分类问题的核心在于找到一个服从于最小误分类比的边界,即找到凸二次规划问题的解;
在求得二次规划问题的参数后,未知流量样本xi即可通过计算决策函数进行分类。
2.根据权利要求1所述的一种基于SVM的攻击流量分类方法,其特征在于:在SVM算法模型给定的情况下,提取样本的特征对决策函数进行拟合。
3.根据权利要求2所述的一种基于SVM的攻击流量分类方法,其特征在于:特征的选择需要满足以下要求:1.特征是否发散,方差是否接近为0;2.特征与目标的相关性。
4.根据权利要求2或3所述的一种基于SVM的攻击流量分类方法,其特征在于:将攻击载荷特征分为:(1).载荷中包含的特殊符号数量fsyb;(2).载荷中包含的特殊字符数量fstr;(3).字符符号比fratio;(4).载荷长度flen;其中载荷特殊符号数量fsyb和特殊字符数量fstr与攻击类型强相关。
5.根据权利要求1所述的一种基于SVM的攻击流量分类方法,其特征在于:攻击载荷样本选用三类共30000条数据作为恶意载荷数据集,三类攻击载荷样本包括SQL注入、目录遍历、命令注入攻击载荷样本。
6.根据权利要求1所述的一种基于SVM的攻击流量分类方法,其特征在于:通过词频统计方法获得每类攻击中出现频率最高的特殊字符和特殊符号作为对应攻击的特征。
7.根据权利要求1所述的一种基于SVM的攻击流量分类方法,其特征在于:采用分类巡回的方式来实现SVM多分类。
8.根据权利要求7所述的一种基于SVM的攻击流量分类方法,其特征在于:分类巡回的方式包括如下内容:
首先我们随机配对所有类别,在经过第一轮的分类后,将第一轮的分类结果随机配对,并进行第二轮分类;如此往复直到获得最终结果。
9.根据权利要求1所述的一种基于SVM的攻击流量分类方法,其特征在于:包括如下步骤:
第一:对需要安全防护的端口做流量获取与解析,利用tcpdump监听端口TCP流量;
第二:使用python的scapy模块对tcpdump生成的pcap文件进行解析,提取出流量中的载荷,输入到一个一对多二值分类SVM中,选用载荷的特殊字符,特殊符号,字符符号比和载荷长度作为特征,将正常流量与异常流量分开;
第三:对异常流量做精准分类,利用分类巡回方法,实现多分类,减轻计算量,最终,统计分类结果,检测出攻击类型。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911291446.3A CN111107077B (zh) | 2019-12-16 | 2019-12-16 | 一种基于svm的攻击流量分类方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911291446.3A CN111107077B (zh) | 2019-12-16 | 2019-12-16 | 一种基于svm的攻击流量分类方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111107077A true CN111107077A (zh) | 2020-05-05 |
CN111107077B CN111107077B (zh) | 2021-12-21 |
Family
ID=70422756
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911291446.3A Active CN111107077B (zh) | 2019-12-16 | 2019-12-16 | 一种基于svm的攻击流量分类方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111107077B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111565199A (zh) * | 2020-07-14 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 网络攻击信息处理方法、装置、电子设备及存储介质 |
CN111740957A (zh) * | 2020-05-21 | 2020-10-02 | 江苏信息职业技术学院 | 一种FP-tree优化的XSS攻击自动检测方法 |
CN111756719A (zh) * | 2020-06-17 | 2020-10-09 | 哈尔滨工业大学 | SDN网络架构下一种结合SVM和优化LSTM模型的DDoS攻击检测方法 |
CN113965389A (zh) * | 2021-10-26 | 2022-01-21 | 天元大数据信用管理有限公司 | 一种基于防火墙日志的网络安全管理方法、设备及介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105897517A (zh) * | 2016-06-20 | 2016-08-24 | 广东电网有限责任公司信息中心 | 一种基于svm的网络流量异常检测方法 |
US20180152475A1 (en) * | 2016-11-30 | 2018-05-31 | Foundation Of Soongsil University-Industry Cooperation | Ddos attack detection system based on svm-som combination and method thereof |
CN108540451A (zh) * | 2018-03-13 | 2018-09-14 | 北京理工大学 | 一种用机器学习技术对网络攻击行为进行分类检测的方法 |
CN110062011A (zh) * | 2019-05-30 | 2019-07-26 | 海南大学 | 基于V-SVM的DDoS攻击检测方法和装置 |
-
2019
- 2019-12-16 CN CN201911291446.3A patent/CN111107077B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105897517A (zh) * | 2016-06-20 | 2016-08-24 | 广东电网有限责任公司信息中心 | 一种基于svm的网络流量异常检测方法 |
US20180152475A1 (en) * | 2016-11-30 | 2018-05-31 | Foundation Of Soongsil University-Industry Cooperation | Ddos attack detection system based on svm-som combination and method thereof |
CN108540451A (zh) * | 2018-03-13 | 2018-09-14 | 北京理工大学 | 一种用机器学习技术对网络攻击行为进行分类检测的方法 |
CN110062011A (zh) * | 2019-05-30 | 2019-07-26 | 海南大学 | 基于V-SVM的DDoS攻击检测方法和装置 |
Non-Patent Citations (4)
Title |
---|
SHENGNAN HAO 等: ""Improved SVM method for internet traffic classification based on feature weight learning"", 《 2015 INTERNATIONAL CONFERENCE ON CONTROL, AUTOMATION AND INFORMATION SCIENCES (ICCAIS)》 * |
焦小焦等: "基于流量特征和载荷特征的P2P流量识别", 《计算机工程与科学》 * |
赵澄等: "基于SVM分类器的XSS攻击检测技术", 《计算机科学》 * |
邱婧等: "基于SVM决策树的网络流量分类", 《电光与控制》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111740957A (zh) * | 2020-05-21 | 2020-10-02 | 江苏信息职业技术学院 | 一种FP-tree优化的XSS攻击自动检测方法 |
CN111756719A (zh) * | 2020-06-17 | 2020-10-09 | 哈尔滨工业大学 | SDN网络架构下一种结合SVM和优化LSTM模型的DDoS攻击检测方法 |
CN111565199A (zh) * | 2020-07-14 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 网络攻击信息处理方法、装置、电子设备及存储介质 |
CN113965389A (zh) * | 2021-10-26 | 2022-01-21 | 天元大数据信用管理有限公司 | 一种基于防火墙日志的网络安全管理方法、设备及介质 |
CN113965389B (zh) * | 2021-10-26 | 2024-05-03 | 天元大数据信用管理有限公司 | 一种基于防火墙日志的网络安全管理方法、设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN111107077B (zh) | 2021-12-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111107077B (zh) | 一种基于svm的攻击流量分类方法 | |
Aljawarneh et al. | Anomaly-based intrusion detection system through feature selection analysis and building hybrid efficient model | |
Viegas et al. | BigFlow: Real-time and reliable anomaly-based intrusion detection for high-speed networks | |
US20220060491A1 (en) | Malicious traffic detection with anomaly detection modeling | |
CN112738015A (zh) | 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 | |
US10187412B2 (en) | Robust representation of network traffic for detecting malware variations | |
CN110868404B (zh) | 一种基于tcp/ip指纹的工控设备自动识别方法 | |
CN111698260A (zh) | 一种基于报文分析的dns劫持检测方法及*** | |
Zhang et al. | Unknown network attack detection based on open set recognition | |
CN117081858B (zh) | 一种基于多决策树入侵行为检测方法、***、设备及介质 | |
BOUKRIA et al. | Intrusion detection system for SDN network using deep learning approach | |
CN114124482A (zh) | 基于lof和孤立森林的访问流量异常检测方法及设备 | |
Kozik et al. | Cost‐Sensitive Distributed Machine Learning for NetFlow‐Based Botnet Activity Detection | |
Silva et al. | Attackers are not stealthy: Statistical analysis of the well-known and infamous KDD network security dataset | |
Radivilova et al. | Analysis of anomaly detection and identification methods in 5G traffic | |
CN113268735B (zh) | 分布式拒绝服务攻击检测方法、装置、设备和存储介质 | |
CN117294497A (zh) | 一种网络流量异常检测方法、装置、电子设备及存储介质 | |
Sivaprasad et al. | Machine learning based traffic classification using statistical analysis | |
Zhu et al. | Detecting malicious domains using modified SVM model | |
Sarhan et al. | Doc-nad: A hybrid deep one-class classifier for network anomaly detection | |
Sujana et al. | Temporal based network packet anomaly detection using machine learning | |
Akbaş et al. | Usage of machine learning algorithms for flow based anomaly detection system in software defined networks | |
CN114268484A (zh) | 恶意加密流量检测方法、装置、电子设备及存储介质 | |
Jeyanna et al. | A network intrusion detection system using clustering and outlier detection | |
Govindaraju | Towards Examining Supervised and Unsupervised Learning for IoT Attack Detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |